7 bin robot süpürgenin kamerasını hackledi: 30 bin dolar ödül aldı

Fransız mühendis Sammy Azdoufal, DJI Romo marka robot süpürgesine PlayStation 5 kumandası bağlamak istiyordu. Bunun için cihazın bulut bağlantısını tersine mühendislik yöntemiyle çözmeye girişti.

Yapay zeka destekli bir kodlama aracıyla cihazın erişim anahtarını çıkardı. Mühendis, bu tek erişim anahtarı ile, DJI'ın sunucuları tarafından 24 farklı ülkedeki 7 bin robot süpürgeye erişebileceğini keşfetti.

Azdoufal, hiçbir şifre kırmadan, hiçbir güvenlik duvarını aşmadan binlerce yabancının evine erişim elde etti.

KAMERALAR AÇIK, MİKROFONLAR DİNLEMEDE

Azdoufal, bu erişimle canlı kamera görüntüsü izleyebildiğini, mikrofon etkinleştirebildiğini ve cihazların oluşturduğu iki boyutlu ev planlarını görebildiğini açıkladı. Robot süpürgelerin IP adresleri üzerinden yaklaşık konumları da belirlenebiliyordu.

Mühendis, durumun ciddiyetini kanıtlamak için The Verge'den bir gazetecinin inceleme amaçlı kullandığı süpürgeyi başka bir ülkeden canlı olarak izledi ve bunu muhabire gösterdi. "Cihazımın, bir cihaz okyanusunda sadece bir damla olduğunu fark ettim" dedi.

Azdoufal, yaptığının "hackleme" olmadığını vurguladı. Sadece kendi cihazına ait anahtarı çıkarmıştı, gerisini DJI'ın sunucuları yapmıştı. "Hiçbir kuralı çiğnemedim. Bir şeyi kırmadım, zorlamadım, şifre denemedim" diye ekledi.

DJI DÜZELTİK DEDİ, SÜPÜRGELER İZLENMEYE DEVAM ETTİ

DJI, The Verge'e sorunun giderildiğini bildirdi. Ancak bu açıklamadan yaklaşık 30 dakika sonra Azdoufal, binlerce süpürgenin hala komutlarına yanıt verdiğini canlı olarak gösterdi.

Şirket sonunda MQTT iletişim sistemindeki yetkilendirme doğrulama hatasını kabul etti ve 8 ile 10 Şubat tarihlerinde kullanıcı müdahalesi gerektirmeyen iki otomatik yama yayımladı.

Mühendise keşiflerinden biri için 30 bin dolar ödül verildiğini doğrulayan DJI, bunun hangi keşfe ait olduğunu açıklamadı. Sorunun kamuoyuna yansımasından iki gün sonra Romo modeli DJI'ın interneti mağazasındandan kaldırıldı.

Azdoufal, hala yamalanmamış açıklar bulunduğunu söylüyor. Bunlardan biri, güvenlik PIN'i girmeden süpürgenin kamera yayınına erişim sağlıyor. İkinci bir açığın ayrıntıları ise düzeltilene kadar gizli tutuluyor.

SEKTÖRDE DERİN BİR GÜVENLİK SORUNU VAR

DJI vakası gördüğümüz tek hacklenme vakası değil. 2024 yılında siber saldırganlar, ABD genelindeki Ecovacs Deebot X2 süpürgelerin uzaktan kontrolünü ele geçirmiş, cihazların hoparlörlerinden hakaret yağdırmış ve evcil hayvanları kovalamıştı.

Güney Kore'de bir tüketici koruma kuruluşu 2025'te altı markayı test etmiş, üç Çin menşeli modelde ciddi güvenlik zaafiyetleri saptamıştı.

DJI vakasını öncekilerden ayıran unsur ise Azdoufal'ın derin teknik uzmanlık gerektiren bu işi yapay zeka destekli bir kodlama aracıyla gerçekleştirmesi oldu. Bu da bu tür sistemleri hackleme olasılığı olan insan sayısını artırıyor.

TEK TEHDİT SÜPÜRGELER DEĞİL: EVDEKİ EN SAVUNMASIZ ALTI CİHAZ

Güvenlik uzmanlarının 2026 raporlarında en sık öne çıkan cihazlar, hacklenme riskinin robot süpürgelerle sınırlı olmadığını gösteriyor.

Wİ-Fİ MODEMLERİ

Listenin zirvesinde Wi-Fi yönlendiriciler yer alıyor. Ev ağının tamamına açılan kapı niteliğindeki bu cihazlarda kullanıcıların büyük bölümü fabrika ayarı şifreleri değiştirmiyor, yazılım güncellemeleri ise neredeyse hiç yapılmıyor.

Ele geçirilen bir yönlendirici üzerinden tüm internet trafiği izlenebiliyor, kullanıcılar sahte sitelere yönlendirilebiliyor veya cihaz büyük ölçekli DDoS saldırıları için botnet ordusuna dahil edilebiliyor.

IP KAMERALAR

IP kameralar da en kırılgan cihazlar arasında. Dünya genelinde milyonlarca birimin hali hazırda bir çok kamerayı ele geçirildiği tahmin ediliyor. Zayıf şifreler ve güvenlik açığı barındıran bulut depolama sistemleri, saldırganların canlı görüntüye doğrudan ulaşmasını sağlıyor.

BEBEK MONİTÖRLERİ

Aynı sorun bebek monitörlerinde (telsiz ya da kamera) çok daha ürkütücü bir boyut kazanıyor. Güvenlik analizleri, bu cihazların önemli bir bölümünde istismar edilebilir açıklar bulunduğunu ortaya koyuyor.

Bir saldırgan çocuğun odasını izleyebiliyor, konuşmaları dinleyebiliyor, hatta mikrofonu etkinleştirip doğrudan çocukla konuşabiliyor.

AKILLI TELEVİZYONLAR VE TV KUTULARI

Akıllı televizyonlar ve TV kutuları da giderek artan bir tehdit oluşturuyor. Bu cihazların işletim sistemleri düzensiz güncelleniyor, üreticiler birkaç yıl sonra desteği tamamen kesiyor.

Kullanıcıların güvenilmeyen kaynaklardan uygulama yüklemesi riski daha da artırıyor. Ele geçirilen bir televizyon, dahili mikrofonu aracılığıyla konuşmaları dinleyebiliyor ya da aynı ağdaki bilgisayarlara sızmak için köprü görevi görebiliyor.

SESLİ ASİSTANLAR

Sesli asistanlar ise evin otomasyon merkezinde oturmaları nedeniyle özel bir hedef. Kapı kilitleri, termostatlar ve ödeme yöntemleriyle bağlantılı bu cihazlar, ses taklidi, insan kulağının duyamayacağı ultrasonik komutlar veya yapay zeka ile ses klonlama gibi tekniklerle manipüle edilebiliyor.

Son sırada ise robot süpürgeler, akıllı buzdolapları, çamaşır makineleri ve akıllı prizler gibi 7/24 açık ve bağlı kalan ev aletleri geliyor. Üreticilerin satış sonrası güvenlik güncellemelerini ihmal etmesi, bu cihazları botnet ağları için ideal hedef haline getiriyor.

AVRUPA'DA DÜZENLEME GELİYOR AMA CİHAZLAR DAHA HIZLI

2020 itibarıyla araştırma şirketi Parks Associates'in verilerine göre ABD'de 54 milyon hanede en az bir akıllı ev cihazı bulunuyor. AB'nin Siber Dayanıklılık Yasası, Aralık 2027'ye kadar satılan tüm bağlantılı ürünlerde tasarım aşamasından itibaren güvenlik zorunluluğu getirecek. İngiltere'nin Nisan 2024'te yürürlüğe giren PSTI Yasası ise akıllı cihazlarda fabrika ayarı şifreleri çoktan yasakladı.

Düzenlemeler ilerliyor, ancak pazara giren cihaz sayısı çok daha hızlı artıyor. Tesla ve Figure gibi şirketler ev kullanımına yönelik insansı robotlar geliştirmek için yarışıyor. 1X adlı bir firma, bulaşık yıkayıp ceviz kırabilen bir modeli satışa sunmuş durumda.

Eve giren her yeni cihaz bir kamera, bir mikrofon ya da her ikisini birden taşıyor ve bir yerlerdeki sunucu, içeriyi kimin göreceğine karar veriyor.

EV ALETLERİNİZİ HACKLENMEKTEN NASIL KORURSUNUZ?

Güvenlik uzmanları, teknik bilgi gerektirmeyen birkaç adımla riskin büyük ölçüde azaltılabileceğini belirtiyor.

Tüm cihazlarda fabrika ayarı şifreleri kurulum sırasında değiştirin ve her cihaz için benzersiz, güçlü bir şifre belirleyin.Yazılım güncellemelerini otomatik olarak etkinleştirin ya da düzenli aralıklarla kontrol edin.Akıllı ev aletlerini ana ağdan ayırarak misafir ağına bağlayın. Böylece ele geçirilen bir cihaz, bilgisayarlarınıza ve kişisel verilerinize ulaşamaz.Kullanmadığınız uzaktan erişim, veri paylaşımı ve mikrofon gibi özellikleri kapatarak saldırı alanını daraltın.Ucuz ve markasız ürünler yerine satış sonrası güvenlik güncellemesi sunan markaları tercih edin.Ağınıza bağlı cihaz listesini belirli aralıklarla gözden geçirin, artık kullanmadığınız veya tanımadığınız cihazları kaldırın.